Künstliche Intelligenz ist längst kein experimentelles Nischenthema mehr, sie ist operative Infrastruktur. Unternehmen automatisieren Geschäftsprozesse, integrieren autonome Agenten in Produktionssysteme und delegieren sicherheitsrelevante Entscheidungen an Modelle, deren innere Logik kaum jemand vollständig versteht. Diese Entwicklung bringt echten Mehrwert. Sie bringt aber auch eine neue Klasse von Risiken, die mit klassischen Cybersecurity-Frameworks allein nicht greifbar ist.
Der International AI Safety Report 2026 unter der Leitung von Yoshua Bengio, an dem Experten aus über 30 Ländern mitwirkten, ist das bisher umfassendste internationale Dokument zu diesem Thema. Er erschien im Februar 2026 und zeichnet ein klares, ernüchterndes Bild: Die Risikolandschaft ist breiter, als viele Unternehmen wahrhaben wollen. Gleichzeitig sind die Werkzeuge zur Absicherung vorhanden, aber sie werden nur selten konsequent eingesetzt.
Dieser Artikel ordnet die zentralen Bedrohungen ein, erklärt die technischen Mechanismen dahinter und zeigt, wie Organisationen heute konkret gegensteuern können. Ohne in Panik zu verfallen, aber auch ohne die Risiken kleinzureden.
Die drei Risikokategorien, die den Rahmen setzen
Der Bengio-Report strukturiert KI-Risiken in drei übergeordnete Kategorien, die sich in der Praxis häufig überlappen:
Missbräuchliche Nutzung umfasst den bewussten Einsatz von KI für schädliche Zwecke: synthetische Desinformation, KI-gestützte Cyberangriffe, automatisierte Fraud-Kampagnen, aber auch das zunehmend reale Szenario, dass Sprachmodelle bei der Entwicklung biologischer oder chemischer Wirkstoffe unterstützen könnten. Die Hürde für solche Angriffe sinkt – wer früher Programmierkenntnisse brauchte, kommt heute mit einem gut formulierten Prompt weit.
Im Angriffsalltag ist das heute weniger Science-Fiction als Beschleuniger: LLMs helfen bei Phishing, Code-Varianten, Zielauswahl und einzelnen Entscheidungsschritten. Was davon bereits real ist und was noch AI-Theater bleibt, ordnet der Deep Dive zu KI in Malware und LLM-gestützten Cyberangriffen ein.
Fehlfunktionen betreffen die Unzuverlässigkeit von KI-Systemen selbst: Modelle, die in unerwarteten Situationen versagen, Outputs produzieren, die plausibel klingen aber faktisch falsch sind, oder deren Verhalten bei kleinen Eingabevariationen drastisch kippt. In kritischen Anwendungen – Medizin, Infrastruktur, Finanzentscheidungen – kann das katastrophale Folgen haben, die schwerer sichtbar sind als ein klassischer Systemausfall.
Ein konkreter Teil dieser Fehlfunktionsklasse sind KI-Halluzinationen: Modelle erzeugen plausible, aber falsche oder unbelegte Aussagen. Das ist nicht nur ein Qualitätsproblem, sondern in regulierten oder sicherheitskritischen Anwendungen ein Risiko, weil falsche Informationen mit hoher sprachlicher Autorität auftreten. Eine vertiefte Einordnung gibt der Artikel zu KI-Halluzinationen und ihrer Reduktion.
Systemische Risiken sind die am schwierigsten messbaren: der schleichende Autonomieverlust von Organisationen, die ihre Entscheidungsprozesse zu tief an KI-Systeme delegieren; die Konzentration von KI-Kapazitäten bei wenigen Akteuren; und die langfristigen Verschiebungen auf dem Arbeitsmarkt, die soziale Stabilität unterhöhlen können.
Was der Report dabei betont und was oft untergeht: Sicherheit kann nicht allein durch technische Tests erreicht werden. Standardisierte Bewertungsverfahren, internationale Governance-Strukturen und institutionelle Maßnahmen sind ebenso notwendig wie Modell-Audits. Punktuelle Sicherheitstests täuschen ein falsches Gefühl von Kontrolle vor.
Agentic AI: Die neue Angriffsfläche ist autonom
2026 markiert einen Paradigmenwechsel im KI-Einsatz: Autonome Agenten – Systeme, die eigenständig Aufgaben planen, ausführen und auf externe Dienste zugreifen – werden zur neuen Normalität in Unternehmensumgebungen. Das schafft Risiken, für die viele Sicherheitsteams noch keine Antwort haben. (Wie Agenten im Unternehmenskontext eingesetzt werden, beleuchtet auch dieser Artikel: KI-Agenten im Unternehmenseinsatz.)
Das Kernproblem: Agenten handeln mit Persistenz und erhöhten Zugriffsrechten. Sie lesen Dateien, schreiben in Datenbanken, kommunizieren mit APIs – und tun das oft ohne explizite menschliche Freigabe für jeden Schritt. Die Angriffsfläche wächst proportional zu diesen Fähigkeiten.
Prompt Injection ist dabei keine theoretische Schwachstelle mehr. Multi-Turn-Angriffe, bei denen eingebettete Instruktionen in scheinbar harmlosen Eingaben den Agenten schrittweise umlenken, wurden bereits in der Praxis dokumentiert. Im Mai 2025 wurde ein GitHub-Issue-Exploit über das Model Context Protocol (MCP) publik: Eine Prompt-Injection führte zu einem vollständigen Agent Hijack – und zur Exfiltration sensibler Daten. Der Angriff nutzte die Tatsache aus, dass der Agent Inhalte aus einem externen Issue als vertrauenswürdige Anweisung interpretierte.
Prompt Injection ist dabei nicht nur ein Prompting-Problem, sondern ein Architekturproblem. Wenn ein Agent externe Inhalte liest, Tools nutzt oder Code ausführen darf, kann eine eingeschleuste Instruktion reale Aktionen auslösen. Warum LLM-Guardrails allein dafür nicht reichen, zeigt die Analyse zu Prompt Injection und fragilen LLM-Guardrails.
Das Model Context Protocol (MCP) und Agent-to-Agent-Kommunikation (A2A) sind zwei der neuesten Erweiterungsstandards für Agentensysteme – und beide bringen eigene Angriffsvektoren mit. Impersonation (ein Agent gibt sich als vertrauenswürdiger anderer aus), Session Smuggling (Einschleusen von Kontext in laufende Sitzungen) und Capability Escalation (ein Agent erlangt durch geschickte Verkettung Rechte, die ihm nie explizit erteilt wurden) sind konkrete, bereits beobachtete Szenarien.
Eine Cisco-Analyse von 31.000 Agent-Skills ergab, dass 26 Prozent davon mindestens eine Schwachstelle enthielten. Gleichzeitig planten 83 Prozent der befragten Organisationen den Einsatz agentischer KI-Funktionen – aber nur 29 Prozent fühlten sich dabei sicherheitstechnisch vorbereitet. Diese Diskrepanz ist kein Kommunikationsproblem. Sie ist ein strukturelles Risiko.
Die fragile KI-Supply-Chain
Wer ein KI-Modell einsetzt, setzt auch alles ein, was in dessen Trainings- und Bereitstellungsprozess eingeflossen ist – und das ist selten vollständig transparent. Die KI-Supply-Chain ist eines der am meisten unterschätzten Risikothemen des Jahres 2026.
Daten-Poisoning bezeichnet das gezielte Einschleusen manipulierter Trainingsdaten, um das Verhalten eines Modells in definierten Situationen zu beeinflussen. Backdoors dieser Art können so gestaltet werden, dass sie im normalen Betrieb vollständig unsichtbar bleiben und sich nur unter spezifischen Trigger-Bedingungen aktivieren. Besonders gefährlich: Wenn das Trainingsregime nicht dokumentiert ist, lässt sich ein solcher Angriff im Nachhinein kaum nachweisen.
Fehlende Modell-Provenance ist das fehlende Äquivalent zur Stückliste in der Hardware-Entwicklung: Man weiß nicht zuverlässig, welche Daten mit welchen Methoden und unter welchen Bedingungen in ein Modell eingeflossen sind. Open-Source-Modelle aus nicht verifizierten Quellen sind hier besonders riskant – aber auch kommerzielle Modelle bieten keine vollständige Transparenz.
Ausführbare Modellartefakte wie serialisierte Pickle-Dateien sind ein weiterer Vektor. Diese Formate können beliebigen Code enthalten und werden beim Laden des Modells direkt ausgeführt – ein klassischer Supply-Chain-Angriff, der sich nur durch spezialisierte Analyse-Tools (Pickle-Fuzzer) zuverlässig erkennen lässt.
Das WEF Global Cybersecurity Outlook 2026 bestätigt: Supply-Chain-Sichtbarkeit und Konzentrationsrisiken – wenn kritische Komponenten von wenigen Anbietern abhängen – gehören zu den drängendsten strukturellen Schwachstellen. Unternehmen, die ihre gesamte KI-Infrastruktur auf einem einzigen Cloud-Stack oder einem einzigen Modell-Anbieter aufbauen, erhöhen ihre systemische Verwundbarkeit erheblich.
Signal der Woche abonnieren
Eine Nachricht. Eine Analyse. Jeden Freitag im Newsletter.
Kostenlos als Member. Gratis abonnieren
Geopolitik als Risikofaktor: Staatliche Akteure und Cyber-Inequity
KI verändert nicht nur Unternehmensstrategien – sie verändert die Grundlagen staatlicher Macht. Deterrence-Konzepte, nachrichtendienstliche Kapazitäten, militärische Entscheidungszyklen: All das wird durch leistungsfähige KI-Systeme neu kalibriert. Das WEF Outlook 2026 benennt es klar: Geopolitische Fragmentierung prägt die Bedrohungslandschaft für Unternehmen direkt.
Staatlich gesponserte Bedrohungsakteure nutzen KI nicht nur für Angriffe, sondern auch zur Skalierung von Informationsoperationen, zur automatisierten Aufklärung und zur Beschleunigung von Exploit-Entwicklung. Für Unternehmen in kritischen Sektoren – Energie, Finanzen, Gesundheit, Infrastruktur – bedeutet das: Die Grenze zwischen Cyberkriminalität und staatlichem Angriff verschwimmt weiter.
Ein Aspekt, der in der deutschen Debatte kaum vorkommt, ist die Cyber-Inequity: Die Schere zwischen gut geschützten Großunternehmen mit dedizierten Security-Teams und KMUs, die weder Ressourcen noch Fachwissen für adäquate KI-Sicherheit haben, wächst. In der DACH-Region, wo der Mittelstand das wirtschaftliche Rückgrat bildet, ist das eine strukturelle Schwachstelle auf Volkswirtschaftsebene.
Historisch lässt sich KI mit dem Telegraph oder der Dampfmaschine vergleichen – General-Purpose-Technologien, die langfristig alle Machtgefüge umstrukturieren. Der entscheidende Unterschied: Der Diffusionsgeschwindigkeit von KI entspricht keine vergleichbare Diffusionsgeschwindigkeit von Sicherheitskompetenz.
Was Unternehmen für KI-Sicherheit konkret tun können
Die gute Nachricht: Die technischen Werkzeuge existieren. Was fehlt, ist konsequente Implementierung und eine Sicherheitskultur, die mit der Adoptionsgeschwindigkeit von KI Schritt hält.
Defense-in-Depth für Agentensysteme bedeutet, keine einzelne Schutzschicht als ausreichend zu betrachten. Agentenarchitekturen brauchen Sandboxing, minimale Rechtevergabe (Principle of Least Privilege), explizite Aufrufgraphen und Monitoring auf Anomalien im Agenten-Verhalten – nicht nur am Perimeter.
Für Agenten, die Code ausführen, ist diese Isolation besonders wichtig. Der praktische Unterschied zwischen Modell-Guardrail und echter Laufzeitgrenze wird sichtbar, sobald ein Agent Dateien verändern, Tests ausführen oder APIs ansprechen kann. Der Artikel zu sicherer Code-Ausführung für KI-Agenten zeigt, warum Sandboxes hier eine notwendige, aber nicht hinreichende Schutzschicht sind.
MCP- und A2A-Scanner sind spezialisierte Werkzeuge, die Kommunikationsprotokolle zwischen Agenten auf Injection-Muster, Impersonation-Versuche und Capability-Eskalation prüfen. Sie gehören zur Pflichtausstattung jedes Teams, das mit autonomen Agenten arbeitet. SecureBERT 2.0 ist ein Beispiel für ein spezialisiertes Sicherheitsmodell, das auf die Erkennung KI-spezifischer Angriffsmuster trainiert wurde.
Modell-Provenance und Supply-Chain-Kontrolle erfordern eine klare Richtlinie: Welche Modelle dürfen aus welchen Quellen eingesetzt werden? Gibt es einen Freigabeprozess für neue Modell-Versionen? Werden Modellartefakte vor dem Einsatz gescannt? Diese Fragen sollten in jeder KI-Governance-Policy explizit beantwortet sein.
Governance-Infrastruktur ist kein Luxus, sondern operativer Bedarf. Der Bengio-Report betont, dass standardisierte Bewertungsverfahren und institutionelle Rahmenbedingungen die Voraussetzung für nachhaltiges Risikomanagement sind – nicht ein Bürokratieprojekt. Wer KI-Systeme ohne klare Verantwortlichkeiten, ohne Incident-Response-Plan für KI-spezifische Vorfälle und ohne regelmäßige Risikobewertung betreibt, hat keine Sicherheitsstrategie – er hat eine Hoffnungsstrategie.
Interdisziplinäre Teams sind kein Soft-Skill-Wunsch. Effektive KI-Sicherheit erfordert den Dialog zwischen Technik, Recht, Compliance und Unternehmensführung. Wer Security-Entscheidungen ausschließlich im Engineering-Team trifft, verliert den systemischen Blick.
Fazit: Adoption ohne Readiness ist ein Risiko
KI-Sicherheit 2026 ist kein Randthema für Security-Spezialisten. Es ist eine Kernfrage für jeden, der KI produktiv einsetzt – vom Startup bis zum Konzern. Die Bedrohungslandschaft hat sich grundlegend verändert: Angriffe sind autonomer, Supply-Chains fragiler, und staatliche Akteure nutzen dieselben Werkzeuge, die Unternehmen für ihre Produktivität einsetzen.
Der zentrale Befund aus den vorliegenden Reports: Adoption und Readiness klaffen weit auseinander. Wer diese Lücke schließt, gewinnt nicht nur Sicherheit – er gewinnt strategischen Vorsprung. Unternehmen, die KI schneller und sicherer integrieren als ihre Wettbewerber, werden langfristig zu den Gewinnern gehören. Die Frage ist nicht ob man sich mit KI-Sicherheit beschäftigen muss, sondern wann man damit anfängt – und ob es zu spät ist, wenn ein Vorfall den Impuls liefert.
Meine Meinung
Was dabei systematisch unterschätzt wird: Die größte Schwachstelle in DACH ist nicht fehlendes Fachwissen in den Großunternehmen – es ist die Cyber-Inequity im Mittelstand, wo KI-Adoption auf minimale Sicherheitsressourcen trifft. Wer heute Agentensysteme ohne MCP-Scanning und Provenance-Kontrolle produktiv schaltet, baut auf einem Fundament, das noch niemand belastet hat. Das wird sich ändern – die Frage ist nur, wessen Kosten das sein werden.
Quellen
- International AI Safety Report 2026 – Unabhängige Expertenkommission (hrsg. Yoshua Bengio u.a.)
- WEF Global Cybersecurity Outlook 2026 – World Economic Forum
- State of AI Security 2026 – Cisco
- AI and International Security: Pathways of Impact and Key Uncertainties – Pruet, Makanju, Reiber, Achiam (OpenAI Policy)
- Christodorescu et al. – Systems Security Foundations for Agentic Computing (arXiv, 2025)
